Ataques de malware sin archivos aumentan en 900% y reaparecen criptomineros

Informe de WatchGuard revela un aumento exponencial de los ataques a terminales, el aumento del malware cifrado, nuevos exploits dirigidos a dispositivos IoT y más.

Las tasas de ataque de malware sin archivos y criptomineros aumentaron en casi un 900 % y 25 %, respectivamente, mientras que las cargas útiles de ransomware únicas se desplomaron en un 48 % en 2020 en comparación con 2019. Esos son algunos hallazgos del Informe de Seguridad de Internet para el cuarto trimestre de 2020 de WatchGuard Technologies. Además, WatchGuard Threat Lab descubrió que el cuarto trimestre de 2020 trajo un aumento del 41 % en las detecciones de malware cifrado con respecto al trimestre anterior, y que los ataques de red alcanzaron sus niveles más altos desde 2018.

Los hallazgos clave del informe incluyen:

Los ataques de malware sin archivos se disparan: Las tasas de malware sin archivos en 2020 aumentaron 888 % con respecto a 2019. Estas amenazas pueden ser particularmente peligrosas debido a su capacidad para evadir la detección por parte de los clientes tradicionales de protección de terminales, y porque pueden tener éxito sin que las víctimas hagan nada más que hacer clic en un enlace malicioso o visitar sin saberlo un sitio web comprometido. 

Criptomineros en aumento: Después de que prácticamente todos los precios de las criptomonedas se desplomaran a principios de 2018, las infecciones de criptomineros se volvieron mucho menos frecuentes y alcanzaron un mínimo de 633 detecciones de variantes únicas en 2019. Nuevamente en el cuarto trimestre de 2020, el volumen de detecciones de malware cryptominer aumentó más del 25 % con respecto a los niveles de 2019 para alcanzar 850 variantes únicas el año pasado.

Los volúmenes de ataques de ransomware continúan reduciéndose: Por segundo año consecutivo, el número de cargas útiles de ransomware únicas tuvo una tendencia a la baja en 2020, cayendo a 2.152 cargas útiles únicas desde 4.131 en 2019, y el máximo histórico de 5.489 en 2018. Estas cifras representan variantes individuales de ransomware que pueden haber infectado cientos o miles de terminales en todo el mundo. 

Los ataques de malware evasivos y encriptados crecen en dos dígitos: A pesar de ser el cuarto trimestre consecutivo de disminución de los volúmenes de malware en general, casi la mitad (47 %) de todos los ataques que WatchGuard detectó en el perímetro de la red en el cuarto trimestre fueron encriptados. Además, el malware entregado a través de conexiones HTTPS aumentó en un 41 %, mientras que el malware cifrado de día cero (variantes que eluden las firmas de antivirus) creció en un 22 % durante el tercer trimestre.

El malware de botnet dirigido a dispositivos y enrutadores de IoT se convierte en una cepa superior: En el cuarto trimestre, el virus Linux.Generic (también conocido como «La Luna») hizo su debut en la lista de WatchGuard de las 10 principales detecciones de malware. Este malware es parte de una red de servidores que se dirige directamente a los dispositivos de IoT y a los dispositivos de red de nivel de consumidor, como los enrutadores, para aprovechar cualquier vulnerabilidad abierta

Violación de SolarWinds ilustra los peligros de ataques a la cadena de suministro: La sofisticada violación de la cadena de suministro de SolarWinds, supuestamente patrocinada por un estado, tendrá amplias implicaciones en toda la industria de la seguridad en los próximos años. Sus efectos se extendieron mucho más allá de SolarWinds a casi 100 empresas, incluidas algunas importantes de Fortune 500, grandes empresas de seguridad e incluso el gobierno de los EE. UU.

Nuevo troyano engaña a escáneres de correo electrónico con un enfoque de carga múltiple: Trojan.Script.1026663 se abrió camino en la lista de las cinco principales detecciones de malware más extendidas de WatchGuard en el cuarto trimestre. El ataque comienza con un correo electrónico pidiendo a las víctimas que revisen un archivo adjunto de lista de pedidos. El documento desencadena una serie de cargas útiles y código malicioso que finalmente llevan a la máquina víctima a cargar el ataque final: el troyano de acceso remoto Agent Tesla (RAT) y el registrador de teclas.

El volumen de ataques a la red se acerca al pico de 2018: Las detecciones totales de ataques a la red crecieron un 5 % en el cuarto trimestre, alcanzando su nivel más alto en más de dos años. Además, el total de firmas de ataques de red únicos también mostró un crecimiento constante con un aumento del 4 % con respecto al tercer trimestre. Esto muestra que incluso cuando el mundo continúa operando de forma remota, el perímetro de la red corporativa todavía está muy en juego a medida que los actores de amenazas continúan apuntando a los activos locales.